Virtual Private Networks (VPNs) ermöglichen einen digitalen Ortswechsel und können auch zum Schutz der Privatsphäre beitragen. Letzteres freilich nur, wenn man weiß, dass man dem VPN-Anbieter auch vertrauen kann. Forscher von Leviathan Security haben nun allerdings einen Angriff demonstriert, der die große Stärke von VPNs – den Datenverkehr des Nutzers über eine verschlüsselte Verbindung zu führen und seine IP-Adresse zu verstecken – aushebelt.

Die Attacke haben die Wissenschafter Tunnelvision getauft. Sie betrifft fast alle VPNs und setzt auf eine seit 22 Jahren existierende Lücke. Die Implikationen sind beachtlich, schreibt Ars Technica.

Option 121

Zur Durchführung muss ein Angreifer einen DHCP-Server am gleichen Netzwerk betreiben, in dem sich sein Opfer befindet. Besagter Server ist dafür zuständig, die IP-Adressen innerhalb dieses Netzwerks zu vergeben. Bei der Verwendung eines VPNs durch einen Teilnehmer würde dessen Datenverkehr zunächst über eine lokale IP-Adresse laufen, über die der VPN-Tunnel initiiert wird. Eine Einstellung, bekannt unter dem Namen Option 121, ermöglicht es dem DHCP-Server aber, die Standard-Routing-Regeln auszuhebeln und zumindest einen Teil des VPN-Datenverkehrs stattdessen über sich selbst als Gateway laufen zu lassen.

Auch nicht privilegierte Nutzer mit Zugang zum Netzwerk können mittels eines bösartigen DHCP-Servers einen "Tunnelvision"-Angriff durchführen.
IMAGO/imageBROKER/Paul Hartl

Sämtlicher Traffic, der auf diesem Wege am VPN-Tunnel vorbeigeschleust wird, wird nicht mehr VPN-seitig verschlüsselt (bestehende Verschlüsselung, etwa via TLS, ist nicht beeinträchtigt) und gibt auch die eigentliche IP-Adresse des jeweiligen Nutzers preis. Für die Betroffenen ist die Attacke nicht ersichtlich. Weil die Verbindung am Ende immer noch über den gleichen physischen Netzwerkanschluss läuft, erkennen VPN-Apps die Umleitung nicht und melden weiter eine sichere VPN-Verbindung. Es ist auch möglich, auf diese Weise eine schon bestehende VPN-Verbindung zu kapern, sobald deren Host den DHCP-Lease – also die Reservierung einer IP-Adresse – erneuert. Dies lässt sich beschleunigen, da der DHCP-Server vorgibt, wie lange ein solcher Lease gültig ist.

Besonders einfach ausführbar ist der Angriff für alle, die administrative Kontrolle über das jeweilige Netzwerk haben. Allerdings ist es auch Usern ohne spezielle Rechte möglich, einen bösartigen DHCP-Server aufzusetzen, sobald sie mit dem Netzwerk verbunden sind.

Alte Schwachstelle

Die Option-121-Schwachstelle existiert seit dem Jahr 2002. Laut den Leviathan-Forschern ist es durchaus möglich, dass dieses Problem seitdem auch schon entdeckt und von Angreifern ausgenutzt wurde. Betroffen sind alle bekannteren Betriebssysteme in unterschiedlichem Umfang. Die einzige Ausnahme ist Googles Android. Hier wurde Option 121 schlicht nie implementiert.

Wer sich schützen will, hat laut den Experten zwei Optionen. Einerseits kann man VPN über eine virtuelle Maschine nutzen, deren Netzwerkadapter nicht im Bridgemodus läuft, oder man verbindet sich über das WLAN (Hotspot) eines Geräts mit mobilem Internetzugang. In beiden Szenarien soll ein Tunnelvision-Angriff nicht möglich sein. Eine umfassende Beschreibung des Problems hat Leviathan auf seinem Blog veröffentlicht. (gpi, 7.5.2024)